中型企業Active Directory 設計部署系列三：AD架構的設計（下）

轉自： http://bbs.winos.cn/thread-53792-1-1.html  ，做者zh_cxl，轉載和分享請註明出處。

 

本系列文章單獨發於bbs.winos.cn，供論壇朋友交流分享，但願能有更多的交流和分享，你們一塊兒學習和提升，因近期有文章被做少量改動後在大型網站轉載，並未註明原文做者以及來源爲bbs.winos.cn，爲支持和保護論壇原創，如需轉載或對原文進行修改、裁剪編輯等後再轉載，請事先與我取得聯繫，故做聲明，謝謝合做





接上篇： 中型企業Active Directory 設計部署系列三 AD架構的設計（上）

解答上篇的問題：假如我是南昌的IT管理員能夠在一級OU上建立AD對象嗎？能夠對重慶的ＯＵ進行管理嗎？

答：一、不能在一級OU上建立AD對象，由於沒有被受權；
     二、不能對重慶OU進行管理，由於沒有被受權；

前面咱們根據地點和公司劃分了二級OU，下面咱們再針對每一個公司繼續劃分OU。
每一個公司的OU架構共設計了兩個方案，下面咱們先看看二個方案的架構圖。

方案一：

下載 (24.75 KB)

2009-2-14 13:12

方案二：

下載 (32.86 KB)

2009-2-14 13:12

公司OU劃分沒有必定結構，原則是根據公司的實際狀況來劃分，怎麼樣管理方便就怎麼樣劃分。

第一個方案簡單明瞭，把相應的對象放入相應的OU再進行策略管理；
第二個方案也不錯，在管理上劃分得很細，但相應的也增長了管理的複雜度；

根據公司的實際狀況，爲了簡化管理決定採用第一個方案，強化總公司的IT管理，減小AD的維護量，保障公司OU架構的統一性和可靠性全部公司都統一採用這一架構，併爲公司裏的每個OU委派權限給分公司的IT管理員。具體的OU委派權限以下：


IT:
做用：此OU委派給總公司IT管理員建立和存放分公司的IT用戶和組
委派權限：
一、建立、刪除以及管理用戶賬戶
二、重設用戶密碼並強制在下次登陸時更改密碼
三、讀取全部用戶信息
四、建立、刪除和管理組
五、修改組成員身份
六、生成策略的結果集(計劃)
七、生成策略的結果集(記錄)

Groups:
做用：委派給分公司IT管理員建立和存放本地分公司的用戶組
委派權限：
一、建立、刪除和管理組
二、修改組成員身份

Users:
做用：委派給分公司IT管理員建立和存放本地用戶賬號
委派權限：
一、建立、刪除和管理組
二、重設用戶密碼並強制在下次登陸時更改密碼
三、讀取全部用戶信息
四、修改組成員身份
五、生成策略的結果集(計劃)
六、生成策略的結果集(記錄)


Servers:
做用：委派給分公司IT管理員建立和存放本地服務器計算機賬號；
委派權限：
一、建立、刪除以及管理計算機賬戶
二、生成策略的結果集(計劃)
三、生成策略的結果集(記錄)


Mobiles:
做用：委派給分公司IT管理員建立和存放本地筆記本計算機賬號；
委派權限：
一、建立、刪除以及管理計算機賬戶
二、生成策略的結果集(計劃)
三、生成策略的結果集(記錄)


Workstations:
做用：委派給分公司IT管理員建立和存放本地普通計算機賬號；
委派權限：
一、建立、刪除以及管理計算機賬戶
二、生成策略的結果集(計劃)
三、生成策略的結果集(記錄)




下一篇：中型企業Active Directory 設計部署系列四 組策略的設計




本系列文章單獨發於bbs.winos.cn，供論壇朋友交流分享，但願能有更多的交流和分享，你們一塊兒學習和提升，因近期有文章被做少量改動後在大型網站轉載，並未註明原文做者以及來源爲bbs.winos.cn，爲支持和保護論壇原創，如需轉載或對原文進行修改、裁剪編輯等後再轉載，請事先與我取得聯繫，故做聲明，謝謝合做